Analys - Hantering av hot mot IT-säkerhet vid distansarbete: En kvalitativ studie om hot mot IT

Det empiriska material som samlades in via de semi-strukturerade intervjuerna analyserades med hjälp av tematiska analyser för att identifiera vilka aktuella hot som finns samt hur dessa bör hanteras. En tematisk analys innebär en metod för att identifiera, analysera och rapportera mönster i data, för att bilda olika generella teman (Braun & Clarke, 2006). Ett tema uppstår dock inte bara från data som samlas in genom ett induktivt tillvägagångssätt, utan kan även framkomma av forskarens teoretiska förståelse av fenomenet i form av ett “a priori”

tillvägagångssätt (Ryan & Bernard, 2003). Syftet med en tematisk analys är att organisera och beskriva insamlade data med en hög detaljnivå samt tolka olika aspekter inom forskningsområdet (Flick, 2014).

Transkribering utfördes iterativt under forskningsprocessen och ämnade att skapa en förståelse över vilka data som hade samlats in (Braun & Clarke, 2006). Då en förståelse var skapad kodades även materialet för att organisera data till meningsfulla grupper. Kodningens syfte är att reducera textmängder i form av längre meningar och paragrafer, till mer hanterbara datamängder (Flick, 2014). En risk vid kodning är att informationen som samlas fragmenteras, vilket innebär att det narrativa flytet i intervjun försvinner (Coffey & Atkinson, 1996). Vid läsande och identifiering av koder har därför det emotionella flytet försökts att fångas så bra som möjligt. Koderna består av olika hot och övrig problematik inom IT-säkerhet som respondenterna nämner under intervjuerna. När det transkriberade materialet var strukturerat i olika koder, delades dessa koder in i olika kategorier. Kategorierna består av en samling liknande påståenden som kodats och resulterar i att formulera studiens teman. För att identifiera teman är det ett antal olika saker som forskare letar efter. Exempel på dessa saker är repetitioner, ovanliga typologier, metaforer, liknelser och olikheter (Ryan & Bernard, 2003).

De teman som identifierades består av en samling liknande koder och repetitioner som tillsammans beskriver ett problemområde inom IT-säkerhet. Ett exempel på hur kodning- och tematiseringsprocessen har gått till presenteras i tabell 5.

15 Tabell 5: Ett exempel på kodning- och tematiseringsprocessen

Transkriberad text: Kodad text: Tema:

Man lämnar över ansvaret mot slutkunden och att dem får konfigurera saker och ting och att dem gör det fel.

Låta kunden konfigurera själva är problematiskt.

Användning och medvetenhet.

Vissa är vana o köpa IT-säkerhetstjänster och vet vad de behöver men väldigt många vet inte var de ska börja.

Många kunder saknar insyn i vad de behöver för skydd.

3.6 Etiska överväganden

Forskning är viktigt för att samhällsutvecklingen ska fortsätta. Det är även viktigt att individer som kommer i kontakt med forskningen hanteras med rättigheter utifrån det grundläggande individskyddskravet. Individskyddskravet består av fyra olika huvudkrav på forskning som är:

informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet (Vetenskapsrådet, 2002).

Informationskravet innebär att respondenterna ska besitta tillräcklig information angående studiens syfte innan intervju påbörjas. Det ska även framgå att undersökningen är frivillig att deltaga i och det går att avbryta deltagande när som helst (Vetenskapsrådet, 2002). För att försäkra att vår studie följde detta krav gavs en detaljerad beskrivning angående studiens syfte.

Utöver detta beskrevs även tydligt hur respondenternas data skulle användas och vad det skulle resultera i och om de någon gång under intervjun skulle ångra sig kan de avbryta.

Samtyckeskravet innebär att forskare behöver förtydliga vad det innebär att deltaga i undersökningen och därefter försäkra ett samtycke från samtliga respondenter (Vetenskapsrådet, 2002). Det finns olika sätt att åstadkomma detta, men ett bra sätt är att skapa ett samtyckesdokument där respondenter skriver under och förmedlar samtycke (Bryman, 2018). Att uppfylla samtyckeskravet var i vårt fall mer problematiskt än det traditionellt sätt är vid intervjuer. Eftersom samtliga intervjuer har skett digitalt, är det svårare att be om en underskrift för att försäkra samtycke. För att försäkra att samtyckeskravet uppnåddes förmedlades tydligt innan intervjuerna att dess samtycke är viktigt och att detta krävdes innan intervjun kunde påbörjas.

Konfidentialitetskravet betyder att personerna som är delaktiga i studien ska hanteras enligt största möjliga konfidentialitet samt att dess personuppgifter ska hanteras på så sätt att det är utom räckhåll för obehöriga aktörer. I studien ska det inte gå att identifiera individer som tillfört data om de vill förbli anonyma (Vetenskapsrådet, 2002). Konfidentialitetskravet uppnåddes genom att förvara inspelade intervjuer på ställen där det är omöjligt för obehöriga att komma åt dem samt att radera dem efter transkribering. I studiens presentation har även respondenterna tilldelats kodade namn samt dess tillhörande organisationer har anonymiserats.

Nyttjandekravet innebär att den data som samlas in får bara användas till forskningsändamål (Vetenskapsrådet, 2002). Studiens empiri har därmed enbart används för dess avsatta ändamål vilket är att svara på studiens frågeställning. Information angående hur alla data skulle användas förmedlades även till samtliga respondenter innan intervjun påbörjades och att denna inte skulle användas till andra ändamål.

3.6 Metoddiskussion

Studien har använt sig av en kvalitativ metod för att besvara frågeställningen. En kvalitativ intervjustudie är inte ett felfritt område. Kritik kan riktas till metoden i form av till exempel

16 problem med generalisering och bristande transparens (Bryman, 2018). Att en studie inte kan generaliseras innebär att det är svårt att använda resultatet utöver dess avsedda kontext. Detta minimerar den externa validiteten i studien och behöver därmed vägas upp av andra kvalitetskriterier som till exempel intern validitet (Bryman, 2018). För att då väga upp för avsaknaden av generaliserbarhet har studien därmed lagt stort fokus på att försäkra kvalitetsbegreppet trovärdighet. Problematiken i bristande transparens är att det kan vara svårt för forskaren att beskriva hur specifika slutsatser har dragits. Beskrivningar för urval, dataanalyser och vetenskapliga metoder är svåra att förstå i många studier som använder sig av kvalitativa forskningsansatser (Bryman, 2018). Detta problem har i denna studie behandlats genom att försäkra tydliga beskrivningar över samtliga metoder som används för att besvara frågeställningen.

Det är viktigt att överväga vetenskapsretorik för att sammanställa godkänd forskning som är värdig (Rienecker & Stray Jörgensen, 2017). För att försäkra kvaliteten på studien har Tracy’s (2010) kvalitetskriterier använts. Värdigheten i en studie mäts av ämnets relevans, hur väl forskningen ligger i tiden, hur signifikant den är och hur intressant den är. Molntjänster och distansarbete är båda forskningsområden som funnits flera år, men med tanke på ökningen av användning ligger ämnet i tiden. Behovet av förnyad forskning som täcker samtliga viktiga aspekter att studera gör ämnet även intressant och signifikant. För att en kvalitativ studie ska uppnå kvalitet är det även kritiskt att den innehar en rik noggrannhet. Noggrannheten innebär att studien ska vara tydligt beskriven samt innehålla tillräckligt med data för att stödja sina påståenden (Tracy, 2010).

Trovärdigheten är ett viktigt begrepp i kvalitativ forskning eftersom det är denna som avgör om studien anses vara acceptabel eller inte (Bryman, 2018). Ett bra sätt för en studie att uppnå trovärdighet är triangulering, som innebär en användning av olika datakällor för att öka datas omfattning (Tracy, 2010). För att försäkra studiens trovärdighet och styrka det empiriska material som samlades in intervjuades ett flertal personer som alla är experter inom IT-säkerhet. Insamlandet av den empiriska data utgick från att data från sju respondenter skulle vara tillräckligt för att uppnå kvalitet. Detta användes dock enbart som en riktlinje och inte som en avgörande faktor för att avgöra mättnad. Det som avgjorde mättnaden var innehållet i svaren samt hur väl de ansågs bidra till att svara på frågeställningen. Först när studiens bidrag kändes trovärdigt var datamättnad uppnådd.

Ett avslutande mål för att uppnå kvalitet i sin studie är uppriktighet och självreflexivitet.

Termerna bildar tillsammans en förmåga att våga ifrågasätta sina egna metoder och hur forskningen gått tillväga. Genom att göra detta känner läsaren en högre nivå av ärlighet från forskaren, vilket kan innebära att de kan relatera till studien (Tracy, 2010). En del av drivkraften till denna studie (COVID-19) har även varit en faktor som påverkat utförandet av studien.

Samtliga intervjuer har blivit tvungna att utföras digitalt. Samtidigt som digitala intervjuer fungerar bra, har det tagit bort möjligheten för att kunna tolka kroppsspråk som i vissa fall kan avslöja känslor i form av obehag eller förvirring. En annan brist som kan diskuteras är valet av respondenter som gjordes. Säkerhetsexperter hos någon form av molntjänstlevererande företag valdes med motivation att deras kunskaper ansågs vara mest relevant. Nackdelen med urvalet är att svaren kan bli likartade eftersom de besitter samma kunskap. För att öka den övergripande bilden över nuläget hade aktörer med andra arbetsuppgifter och åsikter kunnat intervjuas.

4. Resultat

Kapitlet avser att sammanställa det empiriska materialet som samlats in för att formulera studiens resultat. Aktörerna som intervjuats är IT-säkerhetsexperter som levererar och hjälper kunder med någon form av molntjänst. Kapitlet är uppbyggt med fyra underrubriker som baserats på litteraturkapitlets innehåll och beskriver det empiriska materialet på ett strukturerat sätt.

4.1 Konfidentialitet

Resultatet av den empiriska undersökningen visade att IT-säkerhetsexperterna kommunicerar om hur kunder ska arbeta för att säkerställa att data förblir så konfidentiell som möjligt. R3 påstår att den ökning av distansarbete som sker inte påverkar molntjänstleverantörernas arbetssätt eller hoten deras system möter. Respondenten förklarar att molntjänsters säkerhet har samma innebörd oavsett om användaren arbetar på distans eller på företaget. Enligt R5 genomför IT-leverantörer utbildningar i samband med tjänsteerbjudandet, där flertalet av kundernas anställda blir upplysta om hur digitalt arbete ska genomföras så säkert som möjligt.

Anledningen till varför samtliga aktörer behöver utbildas är eftersom varje användare är skyldig till att försäkra att företagets data förblir konfidentiell. R5 menar att då användare arbetar på distans är det viktigt för dem att de vet vilka hot som finns och vad som behöver undvikas. Saknas denna insyn kan användare råka klicka på en länk som utsätter företaget för intrång, vilket äventyrar datas konfidentialitet. Däremot behöver det inte alltid vara alla anställda på ett företag som genomför en utbildning. R5 utvecklar att en metod för att välja ett urval kan vara ett test där en fejkad phishing-attack tränger in i företagets intranät och de anställda som faller offer för den fejkade attacken får utbildning.

“Som säkerhetsansvarig så köper man en phishing-tjänst och så kör man den på sina anställda och så får man då lite data på hur många det var som klickade och öppnade upp för intrång.”- R5

I jämförelse med R5s strategi så kommunicerar R6 om IT-säkerhet vid införandet av ett system och när det uppstår nya funktioner. Det beror på att deras kunder efterfrågar skräddarsydda lösningar. R6 förklarar vidare att efter varje genomfört implementeringsarbete utvärderar leverantören arbetet och utvecklar sedan IT-systemet så det blir säkrare.

R1 använder en skrämseltaktik där skräckscenarion berättas för sina kunder om företag som har blivit försatta i konkurs eller förlorat avsevärda likvida resurser. Respondenten påstår att det blir mer påtagligt för kunderna om leverantören av molntjänsten förklarar om de olika hoten med exempel som de förstår.

”Vi kör olika typer av workshops, bland annat vara ute och försöka skrämma dem så mycket som vi möjligt kan, berätta om vilka hot och risker som finns och relatera till press. De är ju ganska duktiga på att informera när det händer stora saker som när Facebook tappar 500 000 konton och sånt där så står det ju i nyheterna, då kan man referera till det när man försöker skrämma upp företagen, och det gör vi”- R1

R2 beskriver däremot en annan taktik för att uppmärksamma IT-säkerhet. Taktiken innebär att påvisa för kunderna att de är tvungna att arbeta enligt ett ramverk av lagar och regler, som till exempel enligt EU:s lagstiftning om dataintegritet (GDPR). När det handlar om GDPR så berättar R6 att det inte är ovanligt att IT-leverantörer hyr in konsulter som besitter högre kompetens inom ett specifikt område.R7 förklarar att GDPR är ett område som leverantörer kan hänvisa till i sin kommunikation med kunder för att försäkra att deras data förblir konfidentiell. Respondenten förtydligar också att företag behöver ha tydliga interna regelverk för arbete med konfidentialitet. Vid arbete på distans kan användare som saknar

18 kunskap inom GDPR läcka personuppgifter utan att det är meningen. R2 poängterade även att olika företag och myndigheter spritt över olika branscher har olika uppsättningar av interna regelverk som externa konsulter behöver beakta. Exempelvis vilken typ av data som behöver vara tillgänglig vid arbete på distans och därmed ska ligga i molnet eller data som inte kräver samma tillgänglighet och därmed kan ligga på egna servrar. En aspekt som R2 nämnde var att som molntjänstleverantör kan du bara instruera hur kunderna lägger in data i systemen men innehållet ansvarar kunderna själva för. R4 förklarar att deras företag gör på samma sätt med sina kunder och vägleder dem men ansvaret är hos kunderna själva på vad de lägger upp i molnet. Detta understryker även R1 som berättar att flera av deras kunder inte bryr sig om informationssäkerhet i första hand, det främst är funktionalitet och tillgänglighet som är viktigt.

”Dem tänker inte så mycket över varför funkar det och hur vill jag att det ska funka. Sålänge jag kan skriva i mina dokument och dela dem med dem personer som jag vill så är allt annat frid och fröjd.” - R1

R2 berättar vidare att det krävs en bra, kompetent ledning som kontinuerligt berättar hur anställda ska arbeta säkert och förvara data konfidentiellt vid distansarbete. R5 förklarar att ledningen efterfrågar hur deras IT-säkerhet idag är och hur den förhåller sig i nivå med andra företag, oftast med anledning av att de hört om ransomware attacker. R1 menar att det är VD:n som behöver övertygas när det kommer till säkerhet. R1 fortsätter och förklarar att de anställda hos deras kunder sällan förstår när leverantören pratar om konfidentiell information. R3 nämner ett exempel när en kund skapar ett supportärende hos sin molntjänstleverantör. Som systemanvändare kan du inte veta vilken behörighet som IT-leverantörens supportavdelning besitter när problemet ska felsökas.

”Du har ingen aning, så ärligt talat vet du inte ens var informationen ligger, ligger den inom Sveriges gränser? Det lär den inte göra om det är Microsoft, för dem har inget datacenter än i Sverige. Det ligger i Holland, Dublin och i USA. Du har som sagt ingen aning om var det ligger och vem som har access till detta”- R3

R2 beskriver problematiken med datacenter i andra länder och äganderätten, samt hur obeprövade de flesta rättsfallen kopplade till IT-säkerhet är. Vid fall då ett företag sparar sina data på ett amerikanskt ägt datacenter finns det en lag som heter CloudAct som tillåter federala myndigheter att begära ut information från företaget i domstol. Enligt R2 betyder det att ingen data är säker om det sparas på denna typ av utländska molntjänsteservrar. R2 förklarar att bolag försöker skapa liknande molntjänsteservrar i Sverige. Detta skulle innebära att den data som sparas på svenska dataservrar är skyddade enligt säkerhetsskyddslagen och information då kan bli konfidentiellt skyddad. Både R2 och R3 är eniga om att regelverket i olika länder komplicerar hur data ska vara säker och konfidentiell för företagen. R7 understryker att utöver riktlinjer och regelverk är det även väsentligt för företag att veta vilka anställda som har rättigheter, behörighet och tillgång till data. Enligt R6 är det viktigt att ständigt övervaka listan med olika tillgängligheter.

4.2 Tillgänglighet

Studiens resultat indikerar på att tillgängligheten är den aspekt av en molntjänst som lockar mest för kunderna. R6 förklarar att en användning av molntjänster innebär stora möjligheter för tillgänglighet. Funktionalitet och tillgänglighet är de termer som kunderna lägger störst vikt, ofta på säkerhetens bekostnad. R1 förklarar att det enda sättet att vara helt säker mot intrång är att inte använda sig av onlinefunktioner för att lagra data, men eftersom detta är ineffektivt ser inget företag det som ett alternativ. Tillgängligheten som molntjänster erbjuder är en stor möjlighet för att användare ska kunna arbeta på distans. R4 beskriver det som att de kunder som kontaktar dem inte är särskilt insatta i säkerhet och det är därför dem kontaktar

19 leverantören. R1 menar att kunden ofta efterfrågar ett system som ska vara enkelt att använda för att tillåta distansarbete på ett effektivt sätt, vilket innebär att säkerheten inte får begränsa funktionaliteten. R2 påstår att vi är bekväma av oss som människor och om systemet inte är enkelt uppskattas det inte. R2 förklarar även ett exempel på hur denna bekvämlighet även påverkar hur vi människor beter oss i vardagliga situationer.

“Det är bara att titta på en gångbana i en park så kan du se hur stadsarkitekten har lagt fram fina gångar vart du ska gå och fina papperskorgar och bänkar runtomkring. Men så ser du hur folk har börjat skapa sina egna stigar för de tycker att det var lite långt att gå till det t-korset där” - R2

R3 förklarar att det finns en förståelse bland IT-leverantörer att tillgänglighet och enkelhet kommer vara högt prioriterat. Många arbetar för att finna en jämn balans mellan vad som är enkelt och vad som är säkert. R3 uttrycker även blandade känslor vad gäller företagens prioriteringar. Samtidigt som respondenten förstår att tillgängligheten är högt prioriterad, beklagar respondenten detta eftersom säkerhet borde prioriteras högre än det gör idag. R3 förklarar vidare att kunder främst väljer molntjänster eftersom det möjliggör effektiviteten i distansarbete men glömmer bort att tänka över vilka riskerna kan vara då anställda arbetar på egen hand på valfri plats. R5 nämner multifaktorautentisering som en viktig säkerhetskomponent för alla företag att ha. R3 förklarar dock att detta innebär en sänkning av systemets tillgänglighet och detta därför är något som få kunder inledningsvis ser som en bra idé.

R7 förklarar att en bra balans mellan tillgänglighet och säkerhet är en användning av en plattform som benämns “SSO” (Single sign-on). Respondenten förtydligar att plattformen innebär att användaren enbart behöver logga in en gång för att komma åt företagets samtliga system. R7 menar också att detta inte enbart effektiviserar åtkomsten, utan också att det höjer säkerheten eftersom det förenklar för användarna att hålla koll på sina lösenord.

Enligt R6 resonerar många företag att “vad skulle attackerare vilja göra med vår data” och därför föds en naiv syn på säkerhet. Attacker som görs är ofta riktade mot företag som besitter svagheter i sin säkerhet, men som samtidigt kan generera bra pengar till angriparen. R1 förklarar att alla företag måste ta sitt ansvar eftersom attackerna som görs mot ett mindre företag i sin tur kan öppna vägar för att ta sig in i andra företag.

“Man går på det stället som har lägst säkerhet oftast, längst ut i den här leverantörskedjan och så jobbar man sig vidare inåt på något sätt. Till slut hamnar man hos IKEA eller Volvo.”

- R1

R1 poängterar dock att det är viktigt att se över vilken typ av säkerhet ett företag behöver och att det ofta varierar beroende på bransch. R1 konkretiserar med ett exempel att ett plåtslagarföretag rimligtvis inte behöver samma säkerhet för att beskydda personliga data som en juristfirma. Det är därmed viktigt att göra en egen bedömning av vad som anses vara tillräcklig säkerhet för sitt eget företag, men att detta sällan görs.

R6 redogör för att en av alla möjligheter molntjänster besitter är att kunna specificera tydlig kontroll över sina data. Att besitta kontroll över sina data innebär att förvara den på en plats och dela tillgången till den snarare än att skicka iväg den. Molntjänsters ständiga tillgänglighet eliminerar behovet av att skicka e-post med känsliga data för att komma åt den på distans. R1

In document Hantering av hot mot IT-säkerhet vid distansarbete: En kvalitativ studie om hot mot IT-säkerhet som framkommer av distansarbete vid användning av molntjänster och hur dessa hot kan hanteras (Page 20-35)